Datenverkehr zwischen der EU und den USA – EU Kommission erlässt neuen Angemessenheitsbeschluss – Informationen und Handlungsempfehlungen für Unternehmen

Seit der Europäische Gerichtshof Mitte Juli 2020 den damaligen Durchführungsbeschluss der EU zum Datenschutzabkommen zwischen der EU und den USA („Privacy Shield“) für unwirksam erklärt hat, herrschte große Unsicherheit, ob und unter welchen Voraussetzungen personenbezogene Daten aus der EU in die USA übermittelt werden dürfen. Der Europäische Datenschutzausschuss vertrat hierzu die Auffassung, dass dies in bestimmten Bereichen nur bei Nutzung einer wirksamen Verschlüsselung zulässig sei, die insbesondere den Zugriff von US Geheimdiensten auf die Daten ausschließt. Da dies bei vielen Diensten von US-Anbietern wie beispielsweise AWS, Microsoft, Google, Salesforce, Atlassian, Miro oder Stripe nur eingeschränkt möglich war, wurde die Nutzung von deren Diensten von den Aufsichtsbehörden sehr kritisch betrachtet und in Einzelfällen auch mit Bußgeldern geahndet und untersagt. Diese Situation brachte eine große Unsicherheit für Unternehmen mit sich, die auf die Nutzung dieser Dienste angewiesen sind.

Am Montag, dem 10. Juli 2023 hat die EU-Kommission nun einen Angemessenheitsbeschluss für den neuen Datenschutzrahmen EU-USA (Trans-Atlantic-Data-Privacy-Framework – TADPF) angenommen. Der Beitrag gibt einen kurzen Überblick über die Hintergründe des TADPF und den sich daraus ergebenden Handlungsbedarf für Unternehmen.

Zusammenfassung

In dem neuen Angemessenheitsbeschluss wird festgelegt, dass die Vereinigten Staaten ein angemessenes Schutzniveau – vergleichbar mit dem der Europäischen Union – für solche personenbezogene Daten gewährleisten, die innerhalb des TADPF aus der EU an US-Unternehmen übermittelt werden.

US-Unternehmen können sich dem TADPF anschließen, indem sie sich zur Einhaltung detaillierter Datenschutzgrundsätze verpflichten, darunter beispielsweise die Pflichten, personenbezogene Daten zu löschen, wenn sie für den Zweck, für den sie erhoben wurden, nicht mehr erforderlich sind, und den Fortbestand des Schutzes zu gewährleisten, wenn personenbezogene Daten an Dritte weitergegeben werden. Es handelt sich um ein System der Selbstzertifizierung.

Wichtig: Der Beschluss gilt also nicht für alle US-Unternehmen, sondern nur für solche, die sich unter dem TDAPF zertifiziert haben. An diese US-Unternehmen können zukünftig personenbezogene Daten unter den gleichen Voraussetzungen übermittelt werden wie an Organisationen mit Sitz in der EU. Es bedarf – anders als derzeit – keiner zusätzlichen Sicherungsmaßnahmen, Garantien o.ä mehr. Der Nachweis der Zertifizierung genügt.

Welche Unternehmen sich nach dem TADPF zertifiziert haben, kann in einer vom U.S. Department of Commerce unter https://www.dataprivacyframework.gov/s/participant-search ab dem 17. Juli 2023 veröffentlichten Liste eingesehen werden können.

Hintergrund

Die Übermittlung von personenbezogenen Daten aus der EU in ein Drittland, also in einen Staat, der nicht Mitglied der EU ist, ist an bestimmte Voraussetzungen geknüpft, die in der Datenschutz-Grundverordnung (DSGVO) festgelegt sind.

Die wichtigste Voraussetzung ist, dass das Drittland ein angemessenes Schutzniveau für die personenbezogenen Daten gewährleistet, das dem in der EU vergleichbar ist. Dies wird nach der DSGVO unterstellt, wenn die EU-Kommission einen entsprechenden Angemessenheitsbeschluss für das betreffende Land erlassen hat. Solche Beschlüsse gibt es beispielsweise für Argentinien, Japan, Kanada, Neuseeland, Schweiz und das Vereinigte Königreich.

Wenn kein solcher Beschluss vorliegt, darf dennoch ein Datentransfer erfolgen, wenn das übermittelnde Unternehmen entsprechende Garantien vorgesehen hat und den betroffenen Personen angemessene Rechtsbehelfe zur Verfügung stehen. Ein Mittel, dies zu erreichen, ist die Vereinbarung der sogenannten Standarddatenschutzklauseln (SCC). Dabei handelt es sich um von der EU verabschiedete Vertragsbedingungen, die bestimmte Datenschutzregelungen und Pflichten der Beteiligten vorgeben.

Auch für die USA bestand ein Angemessenheitsbeschluss, zunächst auf Grundlage des  sogenannten „Safe Harbor“-Abkommens zwischen den USA und der EU und dann unter dem Nachfolger „Privacy Shield“. Beide wurden jedoch vom Europäischen Gerichtshof für unwirksam erklärt, das erste bereits 2015, das zweite Mitte Juli 2020 in der so genannten Schrems II-Entscheidung. Das Gericht begründete dies in erster Linie damit, dass der Safe Harbor bzw. das Privacy Shield die Daten von EU-Bürgern nicht ausreichend vor dem Zugriff der US Geheimdienste schützen würde und den EU-Bürgern insbesondere keine ausreichenden Rechtsbehelfe hiergeben zur Verfügung stünden. Ein Datentransfer könne aber gegebenenfalls auf die SCC gestützt werden, wenn diese im konkreten Fall einen ausreichenden Schutz gewährleisten.

In Bezug auf die meisten Cloud- und Kommunikationsdienstleister aus den USA vertraten die Datenschutzbehörden jedoch die Ansicht, dass allein die Vereinbarung der SCC nicht ausreichen würde, sondern darüber hinaus technische Maßnahmen erforderlich seien, die einen Zugriff der US-Geheimdienste ausschlössen. Dies würde in der Regel eine wirksame Verschlüsselung der Daten bei dem US-Anbieter erfordern, die auch einen Zugriff des Anbieters selbst unmöglich mache. Da dies in den wenigsten Fällen tatsächlich umsetzbar war, war der Einsatz von US-Anbietern für europäische Unternehmen mit erheblichen rechtlichen Risiken verbunden.

Diese Unsicherheit wird nun durch den neuen Angemessenheitsbeschluss für den Einsatz von US-Unternehmen, die sich dem TADPF angeschlossen haben, beseitigt.

Die Entscheidung für den Angemessenheitsbeschluss begründet die EU-Kommission mit einer umfassenden Analyse des US-Rechts und der Praxis, einschließlich einer neuen Verordnung über einen Data Protection Review Court (DPRC), der den betroffenen Personen aus der EU das Recht auf eine gerichtliche Überprüfung von Anordnungen zur Überwachung von Signalinformationen zu nationalen Sicherheitszwecken gewährt. Die Entscheidung berücksichtigt auch die vorgesehene stärkere Rolle für das Privacy and Civil Liberties Oversight Board (PCLOB) als einer unabhängigen Kontrollinstanz.

Auch das Privacy Shield beruhte bereits auf einem System der Selbstzertifizierung. Offensichtlich gelten die nach dem Privacy Shield vollzogenen Zertifizierungen nun auch unter dem neuen TADPF automatisch fort, wie sich aus einer Einsicht der unter https://www.dataprivacyframework.gov/s/participant-search aufgeführten Unternehmen ergibt, so wird dort beispielweise für die Microsoft Corporation als Zertifizierungsdatum der 12.8.2016 angegeben.

Handlungsempfehlungen für Unternehmen

Was bedeutet der neue Angemessenheitsbeschluss nun für Unternehmen mit Sitz in der EU, die personenbezogene Daten z. B. von Kunden oder Mitarbeitern an Unternehmen mit Sitz in den USA übermitteln oder zukünftig übermitteln wollen? Zunächst einmal ist festzuhalten, dass sich die Situation in Bezug auf einen Transfer an zertifizierte Datenempfänger deutlich verbessert. Dennoch sollten Unternehmen nun ihre bestehenden Transfers überprüfen und die nachfolgenden Punkte beachten:

  • Bei bereits erfolgenden Übermittlungen besteht kein unmittelbarer zwingender Handlungsbedarf, sofern hierfür jedenfalls die SCC abgeschlossen und eine ausreichende Risikoanalyse vorgenommen und dokumentiert wurde (Stichwort „Transfer Impact Assessment – TIA“). Für solche Übermittlungen ändert sich die rechtliche Situation nicht. Übermittlungen können auch weiterhin auf die SCC und zusätzliche Sicherungsmaßnahmen gestützt werden. ABER: Da auch solche Transfers – wie dargelegt – mit rechtlichen Risiken verbunden sind, empfiehlt es sich, den Transfer zukünftig jedenfalls auch auf das TADF zu stützen. Dazu sollte zeitnah geprüft werden, ob der US Dienstleister ein zertifizierter Datenempfänger ist.
  • Bei neu aufzunehmenden Übermittlungen an Datenempfänger in den USA sollte als erstes geprüft werden, ob es sich um zertifizierte Datenempfänger handelt. Ist dies nicht der Fall, sind weiterhin alternative Transferinstrumente erforderlich, wie z. B. die Vereinbarung der SCC.
  • HINWEIS: Auch wenn es sich bei einem Unternehmen um einen zertifizierten Datenempfänger handelt, muss IMMER – wie auch bisher – zusätzlich und in einem vorgelagerten Schritt geprüft werden, ob die Übermittlung als solche zulässig ist. Eine Übermittlung kann beispielsweise auf Basis einer Auftragsverarbeitungsvereinbarung, einer wirksamen Einwilligung ober im Einzelfall auch auf Grundlage berechtigter Interessen erfolgen.
  • Es sind Anpassungen in der datenschutzrechtlichen Dokumentation und den Datenschutzinformationen erforderlich, wenn Datentransfers in die USA auf das TADPF gestützt werden sollen, z. B.
    • Die Datenschutzinformationen z. B. für Kunden, Bewerber, Mitarbeiter, Interessenten u. a. sind anzupassen, da als Transferinstrument nun (auch) das TADPF zu nennen ist. Das Gleiche gilt für Vorlagen zur Beantwortung von Auskunftsersuchen von Betroffenen.
    • Die Angaben in den Verarbeitungsverzeichnissen sind anzupassen.
    • Die Dokumentation der Auswahlentscheidung für Auftragsverarbeiter ist anzupassen und u. U. ist auch eine Anpassung der Vereinbarung mit dem Auftragsverarbeiter erforderlich.
    • Gegebenenfalls Anpassung bestehender Dokumentation zu Datenschutzfolgeabschätzungen.

Ausblick

Von Datenschutzaktivisten wurde bereits angekündigt, auch den neuen Angemessenheitsbeschluss vor dem Europäischen Gerichtshof überprüfen zu wollen. Ob das TADPF dort Bestand haben wird, ist offen. Unabhängig davon, wie eine solche Entscheidung, die frühestens in einigen Jahren getroffen werden dürfte, ausfallen wird, kann der Datentransfer bis dahin in jedem Fall auf das neue Trans-Atlantic-Data-Privacy-Framework gestützt werden. Es empfiehlt sich aber, die Entwicklung hier genau zu beobachten. In manchen Fällen kann es sinnvoll sein, den Datentransfer zusätzlich auf ein weiteres Instrument, z. B. die SCC, zu stützen, um im Worst-Case eine Rückfalllösung zu haben.